リスクを軽視したコインチェック社と仮想通貨について思うこと

仕事柄、セキュリティについてのニュースはチェックしていますが、今回は世間を騒がしたコインチェックについて私なりの感想を書きたいと思います。

コインチェック社は2018年1月末ごろにハッキングを受けて2月13日に金融庁へ業務改善命令に係る報告書を提出したことから記者会見を開きました。

コインチェック「事業続ける」「仮想通貨の出金は安全を確認し次第」

同社が預かっていた日本円の出金には応じ、仮想通貨の取引は外部のセキュリティ会社と確認後再開するとのことです。

詳細については捜査などもあるので詳細にはわからないのでここでは技術的な話は書きませんが、単純にやるべきセキュリティをしていなかったのかなと思います

2018/2/14日時点で一番解説として秀逸だと思う記事を紹介します。

コインチェック流出は安全策の不備だけが問題ではない

リモート作業可能とツイート

ハッキングされる前に都内で雪が降ることがありましたが、その前にコインチェックの和田社長は上のような発言をします。

いまは高度な標的型攻撃が一般的になっているので、彼のような立場の人間がリモートアクセスで仕事をしているということを社内メールで通知するのは意味が分かりますが、ハッカーかもしれない人がみて自社がコントロールできないオープンな場でそのような業務連絡をすることがいいとは思いません。

このツイートのせいでハッキングされたとは思いませんが、私がコインチェック社を狙うハッカーであればこの情報から和田社長や社員のPCに潜入して標的型攻撃を行うことを考えつく可能性があると思いました。

標的型攻撃と対策

“リスクを軽視したコインチェック社と仮想通貨について思うこと” の続きを読む